Hallo Steffen, Steffen Moser schrieb:
Martin Burnicki schrieb: Mit "Datenverschlüsselung" meinte ich jeglichen Datenaustausch zwischen dem Client und dem Server durch den Tunnel. Dazu gehört natürlich sowohl die Anmeldung als auch die Übertragung abgeholter Header und Nachrichten über das IMAP-Protokoll.
Zudem stellt sich die Frage, was denn nun eigentlich gewünscht ist, schließlich sind bei imaps _alle_ Daten encrypted und damit praktisch nicht abhörbar geschützt. Wie ich schon schrieb, der Tunnel verhindert nur das Ausspionieren des Passworts durch Mithorchen an der Leitung.
Nein. Wenn Du IMAP über TLS/SSL machst, gehen sowohl Logindaten (also Benutzername und Passwort) als auch die Nutzdaten (eMail-Header, eMail- Bodys, Steuerinformationen) durch den Tunnel. Sie sind dann allesamt nicht mehr im Klartext auf der Leitung und damit nur dann von einem Dritten abhörbar, wenn er den SSH-Tunnel geknackt hätte.
Es wird also "alles" verschlüsselt, nicht nur das Login. Auch das Mit- lesen der Nachrichten selbst wird so praktisch unmöglich gemacht.
Du kannst es ja leicht überprüfen, indem Du z.B. mit "wireshark" mal die Pakete abfängst, die auf dem betreffenden Interface hereinkommen.
Hm, (fast) keiner versteht mich ;-( Das ist doch genau, was ich ganz oben schrieb. _Alles_, was durch den Tunnel geht, wird verschlüsselt. Aber was hindert einen Angreifer daran, selbst einen Tunnel aufzubauen? Er braucht dazu nur das Zertifikat des Servers zu akzeptieren (wie bei https). Wenn der Tunnel steht, kann er versuchen, sich mit verschiedenen Passworten anzumelden, die er im Klartext bei seinem Email-Programm eingibt. Wenn er das richtige Passwort erwischt, ist er "drin" und hat Zugriff auf alle Emails des Accounts. Die Art des Angriffs unterscheidet sich nicht von einem Angriff auf einen "normalen" IMAP-Server ohne TLS/SSL, außer dass im letzten Fall das Passwort durch einen Sniffer herausgefunden werden kann, falls der Angreifer an die Leitung herankommt. _Das_ geht bei Verwendung von TLS/SSL nicht. Zur Erinnerung: Einige der Accounts verwenden sicherlich nur "schwache" Passwörter, da der Mailserver bisher nur aus dem vertrauenswürdigen Intranet heraus erreichbar ist. Der IMAP-Zugang aus dem Intranet soll wie gehabt erhalten bleiben, aus dem Internet soll der Zugang jedoch nicht mit Klartext-Passwörtern möglich sein. Daher die Idee, IMAPS zu verwenden und Anmeldung mit Klartext-Passwörtern über IMAPS zu verbieten. Gruß, Martin -- Martin Burnicki Meinberg Funkuhren Bad Pyrmont Germany -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org